Os atores da ameaça por trás do hacker Rhadamanthys adicionaram novos recursos avançados ao malware, incluindo o uso de inteligência artificial (IA) para reconhecimento óptico de caracteres (OCR) como parte do que chama de “Reconhecimento de imagem de frase inicial”.
“Isso permite que Rhadamanthys extraia frases iniciais de carteiras de criptomoedas de imagens, tornando-se uma ameaça poderosa para qualquer pessoa que trabalhe com criptomoedas”, disse o Insikt Group da Record Future em uma análise da versão 0.7.0 do malware.
“O malware pode ver imagens dos caracteres iniciais no lado do cliente e enviá-los de volta ao servidor de comando e controle (C2) para uso posterior.”
Descoberto pela primeira vez em setembro de 2022, Rhadamanthys emergiu como um dos criminosos mais poderosos comercializados sob o modelo de malware como serviço (MaaS), ao lado de Lumma e outros.
O malware continua a ter uma presença ativa, apesar das proibições de sites clandestinos, como Exploit e XSS, visando organizações na Rússia e na antiga União Soviética, e seu desenvolvedor, que atende pelo nome de “kingcrete” (também conhecido como “kingcrete2022”), para encontrar métodos . comercializando novas versões no Telegram, Jabber e TOX.
A empresa de segurança cibernética, que deverá ser adquirida pela Mastercard por US$ 2,65 bilhões, disse que o hacker é vendido como uma assinatura por US$ 250 por mês (ou US$ 550 por 90 dias), permitindo que seus clientes coletem uma grande quantidade de informações confidenciais de uma violação. . eles não hospedam.
Isso inclui informações do sistema, credenciais, carteiras de criptomoedas, senhas de navegadores, cookies e dados armazenados em vários aplicativos, ao mesmo tempo em que são tomadas medidas para consolidar os esforços de análise em um ambiente de área restrita.
A versão 0.7.0, a versão mais recente do Rhadamanthys lançada em junho de 2024, é uma grande melhoria em relação ao seu antecessor 0.6.0, lançado em fevereiro de 2024.
Inclui “uma reescrita completa das estruturas do lado do cliente e do lado do servidor, o que melhora a estabilidade da execução do programa”, observa Record Future. “Além disso, foram adicionados 30 algoritmos de quebra de carteira, gráficos alimentados por IA e reconhecimento de PDF para extração de palavras. Os recursos de extração de texto foram aprimorados para identificar mais frases de pesquisa.”
Um recurso também foi incluído para permitir que atores mal-intencionados executem e instalem arquivos do Microsoft Software Installer (MSI) em uma aparente tentativa de evitar a detecção por soluções de segurança instaladas no host. Ele também contém uma configuração para evitar a reutilização dentro de um período de tempo configurável.
 |
| Cadeia superior da infecção por Rhadamanthys |
Uma característica notável do Rhadamanthys é seu sistema de plugins que pode aumentar seu poder com um keylogger, clipper de criptomoeda e funcionalidade de proxy reverso.
“Rhadamanthys é muito popular entre os hackers”, disse Record Future. “Com seu rápido desenvolvimento e novos recursos inovadores, é uma ameaça séria da qual todas as organizações deveriam estar cientes”.
Este desenvolvimento ocorre no momento em que a Mandiant, de propriedade do Google, descreve em detalhes o uso de um método preciso de controle de fluxo pelo Lumma Stealer para enganar o uso do malware.
“Este processo frustra todas as ferramentas de análise binária, incluindo IDA Pro e Ghidra, impedindo não apenas o processo de engenharia reversa, mas também o uso de ferramentas automatizadas projetadas para capturar artefatos e descobertas”, disseram os pesquisadores Nino Isakovic e Chuong Dong.
Rhadamanthys e Lumma, bem como outras famílias de malware roubado, como Meduza, StealC, Vidar e WhiteSnake, também lançaram atualizações nas últimas semanas para coletar cookies do navegador Chrome, contornando com sucesso as medidas de segurança recentemente introduzidas como aplicativo criptografia vinculada.
Além disso, os desenvolvedores por trás do WhiteSnake Stealer adicionaram a capacidade de extrair códigos CVC de cartões de crédito armazenados no Chrome, destacando a natureza em constante mudança do malware.
Não termina aí. Os pesquisadores identificaram que a campanha de malware Amadey usava o script AutoIt, que então iniciava o navegador da vítima no modo quiosque para forçá-la a inserir as informações da sua conta do Google. As informações de login são armazenadas no armazenamento de credenciais do navegador em disco para serem coletadas por ladrões como o StealC.
Essas atualizações contínuas também seguem a descoberta de novas campanhas de download que introduzem hackers, enganando os usuários para que copiem e executem manualmente o código do PowerShell para se passar por uma página de verificação CAPTCHA falsa.
Como parte da campanha, os usuários que procuram serviços de streaming de vídeo no Google são redirecionados para um URL malicioso que os incentiva a pressionar a tecla Windows + R para iniciar o menu Executar, colar um comando codificado do PowerShell e executar, de acordo com CloudSEK, eSentire. , Unidade 42 da Palo Alto Networks e Secureworks.
Este ataque, que eventualmente trouxe ladrões como Lumma, StealC e Vidar, é diferente da campanha ClickFix documentada nos últimos meses por ReliaQuest, Proofpoint, McAfee Labs e Trellix.
“Este novo vetor de ataque representa um risco significativo, pois contorna os controles de segurança do navegador ao abrir um comando”, disse Secureworks. “A vítima é então orientada a emitir o código não autorizado diretamente ao seu gerente”.
Foram observadas campanhas de phishing e phishing distribuindo Atomic macOS Stealer (AMOS), Rilide e outro novo tipo de malware chamado Snake Keylogger (também conhecido como 404 Keylogger ou KrakenKeylogger).
Além disso, hackers como Atomic, Rhadamanthys e StealC estiveram no centro de mais de 30 campanhas fraudulentas organizadas pelo grupo cibercriminoso conhecido como Marko Polo para roubar criptomoedas de todas as plataformas, disfarçando-se de produtos legítimos no jogo. reuniões virtuais e software de produtividade e criptomoeda.
“Marko Polo tem como alvo jogadores, entusiastas de criptomoedas e desenvolvedores de software por meio de phishing de mídia social – destacando seu foco em vítimas experientes em tecnologia”, disse a Record Future, acrescentando “potencialmente dezenas de milhares de dispositivos comprometidos em todo o mundo”.
